聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队 本周四,谷歌宣布扩展其安卓漏洞奖励计划,指出研究人员如果能从 Pixel Titan M 芯片中找到漏洞则可获得最高100万美元的奖励,而如果这个漏洞链同样适用于某些安卓的开发者预览版本,则可获得50%的额外奖金,即150万美元。谷歌指出,自2015年推出安卓安全奖励计划以来,已经收到了1800多份漏洞报告。单在去年一年支付的奖励金已经超过150万美元,而2019年的单个最高奖励金超过16.1万美元。谷歌宣布,如果研究人员能够提交能够在设备上实现持久性的完整的远程代码执行利用链且其中涉及攻陷谷歌 Titan M 安全芯片,则可获得150万美元的奖励金。如果白帽黑客能够演示提取受 Pixel Titan M 芯片保护的数据,则最高可获得50万美元的奖励金,如果能够提取受 Secure Element 保护的数据则最高可获得25万美元的奖励金。安卓漏洞奖励计划中新增的另外一个类别是锁屏绕过技术。研究人员如能发现这类攻击则最高可获得10万美元的奖励。值得一提的是,Zerodium公司表示如果能够提供无需点击并可在目标设备上获得持久性的安卓利用链,则可获得最高250万美元的奖励。需要点击一次并能够在设备上获得持久性的 iOS 利用链,最高可获得200万美元的奖励金。